Embed Size (px)
Citation preview
CLOUD CONTROL MATRIX
Luong Trung Thanh – CSA Vietnam
NỘI DUNG:
• Sơ lược về Cloud Control Matrix
• Bảo mật trên đám mây
• Conceptual Framework
• Những vấn đề thực tế
Sơ lược về Cloud Control Matrix
Những bước sơ khởi ban đầu
Sơ lược về Cloud Control Matrix
133 controls, 16 mục, ánh xạ khá đầy đủ các tiêu chuẩn bảo mật, privacy như ISO 27001,
PCI-DSS, HIIPA…
BẢO MẬT TRÊN ĐÁM MÂY
Cả nhà cung cấp dịch vụ và người sử dụng đều có trách
nhiệm với đám mây của mình
Úi à !!! Trách nhiệm gì? Biết
làm gì giờ ?
Nhận diện rủi ro trên Cloud
Nguồn: Deloitte Big 4
Nhận diện rủi ro trên Cloud
Nguồn: Deloitte Big 4
IaaS – Conceptual Framework
PaaS - Conceptual Framework
SaaS - Conceptual Framework
Ví dụ:
Ví dụ:
• Identity and Access Management (IAM) policies control users, groups, permissions, and accounts run AWS resources
• MFA is recommended for master account• STS (Security Token Services)• API, SAML, ADFS …
(Tham khảo các best-practice của Amazon)
Quay lại về thực tế
• Thực tế là: Những việc doanh nghiệp/người sử dụng cần quan tâm
Những câu hỏi trước khi bắt đầu với dịch vụ Cloud
Công việc quản trị cần làm những gì …
• Có lẽ nên dành thời gian để thảo luận thêm
Cloud Service Provider - FAQ• Sử dụng dịch vụ cloud như thế nào khi mà đa
số chưa đọc quy định sử dụng, license hoặc một số hạn chế (*)
• Dữ liệu được bảo vệ và lưu trữ thế nào• Làm gì khi có sự cố • Các điều khoản quy định được thay đổi có báo
trước như thế nào … và cần làm gì• Nếu dừng dịch vụ thì dữ liệu có được duy trì
tiếp hay không? Bao lâu ?• (Nhà cung cấp sử dụng các thông tin gì của tôi
khi tôi sử dụng dịch vụ )
CSP – FAQ (cont)• Vấn đề liên quan đến dữ liệu:
Kiểm tra CSP có bảo lưu quyền sử dụng các thông tin của mình/doanh nghiệp
Khả năng lưu trữ các dữ liệu đã xóa ở đâu đó Công cụ hỗ trợ cho việc chuyển đổi các từ dịch vụ này sang
dịch vụ khác (upgrade thì dễ, downgrade thì sao nè …) Chú ý: kiểm tra kỹ các bản sao lưu (backup) khi quyết định
không sử dụng cloud đó nữa.• Các chuẩn bảo mật CSP đang tuân thủ:
ISO 27001 hay các chuẩn tương đương Compliance (Privacy và đủ thứ trên đời như SOX, HIPPA…) Encryption & Algorithm
• Vui lòng cho xem SOP (Standard Operations Procedure)
Cloud Services - FAQ• Identification & Authentication
Strong authentication (2NF) Đổi mật khẩu theo định kỳ Xóa các tài khoản và thay đổi mật khẩu khi có sự thay đổi
• Data protection Các dạng dữ liệu được lưu trên Cloud Bảo vệ dữ liệu cá nhân (Privacy) Tránh việc chia sẻ dữ liệu quan trọng qua cloud Khu vực lưu trữ (thường quy định với luật)
Cloud Services - FAQ• Cloud Administrator (*)
Các yếu tố bảo vệ cho tài khoản quản trị Cloud (strong Authentication)
Định kỳ xem lại việc phân quyền truy cập, chia sẻ Clean-up và backup dữ liệu Tuân thủ các chính sách
• Service Continuity Backup và đảm bảo việc khả năng mở rộng khi cần thiết (tùy
thuộc vào dịch vụ cloud) Mức độ ảnh hưởng khi chuyển sang khu vực khác hoạt động Cẩn thận khi Add thêm các dịch vụ Secure as a Service mà
chưa biết rõ (Cá mập luôn là đối thủ khó chơi nhất …. )
Bảo vệ dữ liệu cá nhân• Có 1 câu mà hỏi hoài …• Data Protection
Tốt nhất là tự hỏi nếu thông tin bị lộ thì … Không có gì để mất
• Security of Access Account Đừng chia sẻ mật khẩu & bảo vệ tài khoản của bản thân Định kỳ rà soát lịch sử truy cập thông báo khi có bất
thường Xác thực đa lớp
• Secure devices Thiết bị di động dễ mất lắm Jailbreak/root, phần mềm giả mạo Ransomware đã có trên mobile ….
Everything as a Service
Pay what you want & use
Công việc nhàm chán…day-to-day
TÓM LẠI:
Thông tin tham khảoCác tài liệu tham khảo:• CSA - Cloud Control Matrix • ISACA:
• Cloud Computing Management Audit/Assurance Program
• Security Consideration Cloud Computing (Took-kits)
• Research Gate:• A generic Software Development Process Refined from
Best Practices for Cloud Computing
• KPMG & Deloitte (Publication)• Openstack (xem notes là chủ yếu).
THNAK YOU !!!• Ít ra cũng có câu hỏi là chữ “Thank you” viết
sai chính tả ở trên
